Una vez más los atacantes están explotando la tendencia pública de no mantener actualizado el software, y el interés creciente acerca de Irán y su programa nuclear para infectar a los usuarios con un troyano de puerta trasera.

La amenaza, primero identificada y descrita por la investigadora de seguridad Mila Parkour, está contenida en un correo electrónico cuyo asunto dice "Situación petrolera y nuclear en Irán", y el remitente es "William Abnett".

Créditos: ContagioDump

El documento adjunto "Situación petrolera y nuclear de Irán.doc" contiene elementos Flash, que descargan un archivo mp4 corrupto, que a su vez causa corrupción de memoria y ejecución de código. El archivo adjunto saca ventaja de una falla de Flash recientemente solucionada (CVE-2012-0754).

El archivo genera y ejecuta el binario embebido (us.exe) en la carpeta %Temp%. El ejecutable es un troyano que abre una puerta trasera en la computadora vulnerable y trata de bloquear las advertencias lanzadas por soluciones antivirus sobre su naturaleza maliciosa.

Mientras ambos archivos DOC y EXE sean detectados por unas cuantas soluciones antivirus enlistadas en VirusTotal, no habrá advertencias ni forma de bloquearlo efectivamente.

Parkour advierte a los usuarios que sean cuidadosos y lo piensen dos veces antes de abrir correos electrónicos y archivos enviados por personas que no conocen, u organizaciones con las que no hayan tenido contacto previamente – los asuntos de los correos electrónicos y los nombres de los archivos adjuntos son cambiados con facilidad y frecuencia.